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(§§) Verfahren zur Sicherung eines Programmablaufs 

© Die Erfindung betrifft ein Verfahren zur Sicherung des 
Programmablaufs beim Aufruf von Unterprogrammen. 
Bekannte Verfahren zu r Datensicherung wirken zwar einer 
Auswertung der Daten durch gezielte Prog ram munter- 
brechung entgegen, bieten jedoch keinen wirksamen 
Schutz bei modular aufgebauten Programmen, insbeson- 
dere beim Aufruf von Unterprogrammen, GemaS der Er- 
findung fuhrt deshalb das aufgerufene Programm vor 
bzw. wahrend der Programmausftihrung eine Oberpru- 
fung der vom aufrufenden Programm direkt oder indirekt 
ubermfttelten Daten aus. 



0) 



Beschreibung 

Die vorliegende Erfindung betrifft ein Verfahren zur Si- 
cherung des Programmablaufs gemafi Anspruch 1. 

Insbesondere bei sicherheitsrelevanten Anwendungen, 5 
beispielsweise im Bereich yon IC-Xarten ist es notwendig, 
den Programrnablauf vor unerlaubten Manipulationen zu 
schutzen. Zum Schutz geheimer Daten, beispielsweise ge- 
heimer SchLusseidaten, ist es bekannt, die zu schiitzenden 
Daten verschliisselt abzulegen, um ein Auslesen durch Un- 10 
berechtigte zu verhindern. 

Der Zugriff auf geheime Daten kann jedoch auch dadurch 
erfolgen, daB der Programrnablauf gezielt unterbrochen 
wird, so daB Fehler in den Verschliisselungsroutinen entste^ 
hen, aus denen nach mehrmaliger gezielter Unterbrechung 15 
auf die geheimen Daten ruckgeschlossen werden kann. 

Zur Vermeidung derartiger Angriffe ist es notwendig, 
Fehler oder Storungen des Programmablaufs sicher zu er- 
kennen. Aus der deutschen Patentschrift DE 37 09 524 C2 
ist ein Verfahren zur Uberprufung der Speicherzelleninhalte 20 
eines Programmspeichers in einem Rechner bekannt. Dort 
werden mehrere Priifsummen abgespeichert, welche aus 
Speicherzelleninhalten von unterschiedlichen AdreB- und 
Datenspeicherbereichen gebildet werden. Die Priifsummen 
werden zu Beginn und/oder wahrend des Rechnerbetriebs 25 
ermittelt und mit der abgespeicherten Priifsumme vergli- 
chen. Bei Feststellung einer Abweichung wird ein Feblersi- 
gnal ausgegeben. 

Das aus der DE 37 09 524 C2 bekannte Verfahren eignet 
sich hauptsachlich dazu, die Richtigkeit von Daten 7 welche 30 
in einem Programm verwendet werden, zu uberprufen. Es 
wird auBer Acht gelassen, daB auch bzw. insbesondere bei 
Prograrnmaufrufen, d. h. bei der Ausfuhrung von Unter- 
oder Funktionsprogrammen eine Manipulation des Pro- 
grammablaufs erfolgen kann. 35 

Es ist deshalb Aufgabe der vorliegenden Erfindung, ein 
Verfahren anzugeben, das die sichere Uberprufung von mo- 
dular aufgebauten Programmen, insbesondere bei Unterpro- 
grammaufrufen, zulaBt. 

GemaB der Erfindung wird diese Aufgabe getost, indem 40 
vom aufgerufenen Programm eine Datenuberprufung ausge- 
fuhrt wird, welche den sicheren Obergang der vom aufru- 
fenden Programm zu ubergebenden Daten feststellt. 

Durch die Erfindung wird eine zusatzliche Sicherheit er- 
reicht, die nicht nur gewahrleistet, daB einzelne Programm- 45 
teile sicher und vollstandig ausgefuhrt werden, sondern daB 
der gesamte Programrnablauf ungestort und frei von Mani- 
pulationen ablaufen kann. 

Eine vorteilhafte Ausfiihrungsfomi der Erfindung sieht 
vor, dafi iiber die vom aufrufenden Programm an das aufge- 50 
rufene Programm iibergebenen Parameter zunachst vom 
aufrufenden Programm eine Checksumme gebildet wird, 
welche in einem dafur vorgesehenen Speicherbereich abger- 
legt wird. Nach Obergabe der Parameter wird auch vom auf- 
gerufenen Programm iiber die erhaltenen Parameter eine 55 
Checksumme gebildet. Fur den Fall, daB die vom aufrufen- 
den und aufgerufenen Programm gebildeten Checksummen 
unterschiedlich sind, wird das Programm abgebrochen. 

Auf diese Weise kann sichergestellt werden, daB ein 
Funktionsprograrnm, insbesondere ein Funktionsprogramm, 60 
welches sicherheitsrelevante Daten abarbeitet, bereits zu 
Beginn auf Manipulationen hin untersucht wird, so daB dei 
Start des aufgerufenen Programms mit fehlerhaften Parame- 
tern von vornherein verhindert werden kann und eine Aus- 
wertung der fehlerbehafteten Daten nicht ermoglicht wird. 65 

Vorzugs weise wird der Speicherbereich, welcher zur Ab- 
lage der Checksumme vorgesehen ist, in einem RAM- oder 
Registerbereich angelegt. 



Eine weitere oder alternative Ausfuhrungsform zur Bil- 
dung der Checksumme iiber die zu ubergebenden Parameter 
ergibt sich aus der IJberprUfung der Rucksprungadressen. 
Dabei werden die Rucksprungadressen der aufrufenden 
Funktionen in einer Tabelle eingetragen und vom aufgerufe- 
nen Programm kann mittels dieser Tabelle iiberpriift wer- 
den, ob die vom aufrufenden Programm ubermittelte Ruck- 
sprungadresse in der Tabelle vorhanden ist. Bei einer fehler- 
haft mitgeteilten Riicksprungadresse kann das Programm 
unterbrochen werden. 

Eine weitere alternative oder zusatzliche Sicherheitsuber- 
prufung kann erfolgen, indem bei Aufruf eines Unterpro- 
grarnms bzw. eines Funktionsprogramms ein Timer gestartet 
wird. Dieser Timer zahlt die Taktzyklen, welche fur die Aus- 
fuhrung des Programms notwendig sind. Es wird dabei zu- 
nachst als Grenzwert fur den Timer die fur den regularen 
Untexprogrammablauf benotigte Anzahl der Taktzyklen als 
Grenzwert vorgegeben. Das Programm wird abgebrochen, 
wenn vor Beendigung des Unterprograrrrms die Anzahl der 
vorgegebenen Taktzyklen uberschritten wurde. 

In vorteilhafter Weise wird auch an bestimmten, vorgege- 
benen Stellen des Unterprogramms der Timerwert ausgele- 
sen und mit ebenfalls vorgegebenen Zwischenwerten vergli- 
chen. Auch in diesem Fall wird das Programm abgebrochen, 
wenn der vorgegebene Zwischenwert uberschritten wurde, 

Im folgenden wird die Erfindung anhand der Fig* 1 bis 3 
nahererlautert. 

Es zeigen: 

Fig, 1 Ablaufdiagrarnm fur die Uberprufung mittels Priif- 
summe, 

Fig, 2 Ablauf fur die Uberprufung mittels Rucksprung- 
adres sen tabelle, 

Fig. 3 Ablauf fur die tTberpriifung mittels Timer. 

In Fig, 1 ist der Ablauf eines Unterprogrammaufrufs, ins- 
besondere eines Funktionsaufrufs beschrieben, wobei die 
Funktionsschritte 1 bis 3 das aufzurufende Programm be- 
treffen und die Funktionsschritte 4 bis 8 die Auswertung des 
Unterprogramms betreffen. 

Im aufzurufenden Programm werden zunachst in Schritt 1 
die fur die Ausfuhrung des Unterprogramms notwendigen 
Parameter bereitgestellt. Fur diese Parameter wird in Schritt 
2 eine Pruisumme gebildet, die im einfachsten Fall aus ei- 
nem Parity-check bestehen kann. Im weiteren sind selbst- 
verstandlich die gangigen Verfahren zur Pruisummenbil- 
dung, z.B. CRC (Cyclical Redundancy Check) oder EDC 
einsetzbar. Die so errnittelte Priifsumme (Checksumme) 
wird in einen dafur vorgesehenen Speicherbereich einge- 
schrieben. Bei diesem Speicherbereich kann es sich um ei- 
nen fliichtigen Speicher (RAM) oder auch um einen nicht- 
fluchtigen, wiederbeschreibbaren Speicher (z. B. EEPROM) 
handeln. 

In AnschluB an die Bildung und Abspeicherung der Priif- 
surnme 1 erfolgt der Unterprograrrmiaurruf in Schritt 3. 
Schritt 4 stellt den Beginn der Ausfuhrung des Unterpro- 
gramms dar. In diesem Unterprogramm wird zunachst die 
Prufsumme 2 iiber die Iibergebenen Parameter gebildet. 
Diese Prufsumme wird mit dem gleichen Verfahren gebil- 
det, mit dem auch die Prufsumme 1 im aufrufenden Pro- 
gramm ermittelt wurde, 

Als nachstes erfolgt in Schritt 6 eine Cnoerr>rufung der 
Prufsummen PS1 und PS2 auf Gleichheit. Wird in diesem 
Schritt 6 festgestellt, daB die beiden Priifsummen ungleich 
sind, kann davon ausgegangen werden, daB bei der Uber- 
gabe der Programmparameter ein Fehler aufgetreten ist, 
welcher ein Hinweis auf eine beabsichtigte Stoning mit dem 
Ziel, Geheimdaten zu ermitteln, sein kann. Als MaBnahme 
kann in Schritt 7 das Programm beendet werden oder es 
werden entsprechende alternative MaBnahmen getroffen, 
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beispielsweise eine Fehlerrneldung an das Hauptprogramm. 

Wird in Schritt 6 festgestellt, daB die Prufsummen PS1 
und PS2 gleich sind, wird mit dcr eigentlichen Funktions- 
ausfuhrung begonnen. 

Die Fig* 2 zeigt eine Moglichkeit der Pro grammsicherung 5 
durch Oberpriifen der Riickspningadressen. Rucksprung- 
adressen werden beim Funktionsaufiruf per Hardware auf 
den Stack gelegt. Im vorliegenden Fall werden also im 
Schritt 11 beim Unterpro grarnmaufruf , ebenfalls die Infor- 
mationen vom aufrufenden Programm (z. B. Riicksprung- 10 
adressen) an das Unterprogramm ubergeben. GemaB der Er- 
findung werden die Rucksprungadressen in einer Tabelle 17 
verwaltet und bei der Ausfuhrung des Unterprograrnms wer- 
den zunachst in Schritt 12 die Rucksprungadressen — so weit 
sie im RAM abgelegt sind - auf Konsistenz hin untersucht, 15 
urn sie in Schritt 13 anhand der Tabelle 17 zu uberpriifen. 
Wenn in Schritt 14 festgestellt wurde, daB die iibergebene 
Riicksprungadresse nicht in der Tabelle vorhanden ist, wird 
mit Schritt 15 das Programm beendet, andernfalls wird in 
Schritt 16 mit der Ausfuhrung des Funktionsprograrnms be- 20 
gonnen. 

Die Fig* 3 zeigt eine Ausfuhrungsform, bei der der rich- 
tige Programmablauf bzw. der ungestorte Programmablauf 
mittels eincs Timers uberpruft wird. Unmittelbar nach dem 
Start des Unterprograrnms in Schritt 21 wird in Schritt 22 25 
ein Timer gestartet. Dieser Timer ist ausgelegt, die Zeit zu 
messen bzw. die Taktzyklen zu zahlen, welche fur die Aus- 
fuhrung des Unterprogramms benotigt werden. Im An- 
schluB an den Start des Timers in Schritt 22 wird mit Schritt 
23 die Funktion des Unterprograrnms ausgefuhrt und nach 30 
Beendigung der Funktion wird in Schritt 24 der Timer ge- 
stoppt. In Schritt 25 wird uberpruft, ob die Anzahl der Takt- 
zyklen, welche fur die Ausfuhrung des Funktionspro- 
gramms benotigt wurden, mit der vorgegebenen Anzahl von 
Taktzyklen ubeieinstirnmt. Fur den Fall, daB keine Uberein- 35 
stimmung besteht, wird das Programm mit Schritt 26 been- 
det. Im anderen Fall wird in Schritt 27 mit der Program- 
mausfuhrung fortgefahren, beispielsweise indem zum 
Hauptprogramm zuriickgesprungen wird* 

In der Fig. 3 ist dargestellt, daB der Timer nach Ablauf der 40 
Funktion bzw. des Fnnktionsprogramms gestoppt und uber- 
pruft wird. In der Praxis kann die Sicherheit erhoht werden, 
indem bestimmte Stellen im Funktionsprogramm vorgese- 
hen werden, an denen der Timer zusatzlich uberpruft wird. 
Damit kann gegebenenfalls verhindert werden, daB das 45 
Funktionsprogramm trotz eines Fehlers oder Angriffs weit- 
gehend ausgefuhrt wird. 

Alternativ kann auch vorgesehen werden, daB der Tlmer- 
wert nach dem Start konrinuierlich mit einem Grenzwert 
verglichen wird und das Programm abgebrochen wird, wenn 50 
dieser Grenzwert erreicht bzw. iiberschritten wurde. 

Die einzelnen Ausfuhrungsbeispiele nach den Fig. 1 bis 3 
wurden als eigenstandige, alternative MaBnahmen darge- 
stellt. Die Sicherheit kann erhoht werden, indem die Aus- 
fuhrungsbeispiele kombiniert werden. GroBte Sicherheit bil- 55 
det die parallele tJberprufung mittels Prufsumme, Rtick- 
sprungadressenprufung und Tlmeruberpnifung. 
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- das aufruf ende Programm iiber die zu iiberge- 
benden Parameter eine erste Checksumrne bildet, 

- diese erste Checksumrne in einem dafur vorge- 
sehenen Speicherbereich abgelegt wird, 

- das aufgerufene Programm vor seiner Ausfuh- 
rung iiber die erhaltenen Parameter eine zweite 
Checksumrne bildet und auf Gleichheit mit der er- 
sten Checksumrne uberpruft und 

- bei Ungleichheit der ersten und der zweiten 
Checksumrne das Programm abgebrochen oder 
eine Fehlerrneldung ausgegeben wird. 

3. Verfahren nach Anspruch 1 oder Anspruch 2, da- 
durch gekennzeichnet, daB der Speicherbereich zur 
Ablage der Checksumrne ein RAM- oder Registsrbe- 
reich ist. 

4. Verfahren nach einem der Anspruche 1 bis 3, da- 
durch gekennzeichnet, daB die Rucksprungadressen 
der aufrufenden Funktion in einer Tabelle eingetragen 
werden und das aufgerufene Programm die vom aufru- 
fenden Programm mitgeteilte Riicksprungadresse uber- 
pruft, indem das Vorhandensein dieser Riicksprung- 
adresse anhand der Tabelle uberpruft wird, 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB bei Aufruf eines Unterpro- 
gramms ein Timer gestartet wird, welcher die fur die 
Ausfuhrung des Programms benotigte Anzahl von 
Taktzyklen zahlt und das Programm abbricht, wenn vor 
Beendigung des Unterprogramms die vorgegebene An- 
zahl der Taktzyklen uberschritten wurde. 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB der Tlmerwert an bestimmten, vorgegebenen 
Stellen ausgelesen und mit einem ebenfalls vorgegebe- 
nen Zwischenwert verglichen wird und das Programm 
abgebrochen wird, wenn der vorgegebene Zwischen- 
wert uberschritten wurde. 



Hierzu 2 Seite(n) Zeichnungen 



Patentanspruche 

60 

L Verfahren zur Sicherung des Programmablaufs 
beim Aufruf von Unterprogrammen, dadurch gekenn- 
zeichnet, daB das aufgerufene Programm vor bzw. 
wahrend der Prograrnmausfiihrung eine Uberprufung 
der vom aufrufenden Programm direkt oder indirekt 65 
ubermittelten Daten ausfuhrt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB 
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